Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)
-   -   Hilfe Bitte (https://www.trojaner-board.de/32689-hilfe-bitte.html)

Burgi 05.10.2006 18:48

Hilfe Bitte
 
Also ich habe mein PC neuinstalliert und weiss nicht weiter immer 100% system auslastung wenn ich internet starte oder die svchost/explorer.exe an ist. bitte helft mir!!





Logfile of HijackThis v1.99.1
Scan saved at 19:46:39, on 05.10.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Programme\ICQLite\ICQLite.exe
C:\Programme\Teamspeak2_RC2\TeamSpeak.exe
C:\Programme\Grisoft\AVG Anti-Spyware 7.5\guard.exe
C:\Programme\Grisoft\AVG Anti-Spyware 7.5\avgas.exe
C:\PROGRA~1\MOZILL~1\FIREFOX.EXE
C:\Dokumente und Einstellungen\***\Desktop\HijackThis\HijackThis.exe

O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll
O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll
O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Programme\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized
O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot
O23 - Service: AVG Anti-Spyware Guard - Anti-Malware Development a.s. - C:\Programme\Grisoft\AVG Anti-Spyware 7.5\guard.exe

Rene-gad 05.10.2006 19:13

@Burgi
Diesem Log nach befindet sich dein Rechner in Wachkoma: es läuft sehr wenig davon, was ein PC für die normale Arbeit braucht. Auch keine Malware.

MightyMarc 05.10.2006 19:30

Zitat:

Zitat von Burgi
immer 100% system auslastung wenn ich internet starte oder die svchost/explorer.exe an ist.

Welcher Prozess (Name) verursacht wieviel CPU-Last (Prozentangabe)?

Hast Du alle notwendigen Treiber installiert (vor allem die Chipsatztreiber)?

Burgi 07.10.2006 09:42

naja meistens verursacht explorer oder system oder svchost viel oder wenn ich eine anwendung starte

Burgi 08.10.2006 13:23

Zitat:

Zitat von MightyMarc
Hast Du alle notwendigen Treiber installiert (vor allem die Chipsatztreiber)?

woher bekomme ich diese treiber?

MightyMarc 09.10.2006 20:04

Zitat:

Zitat von Burgi
woher bekomme ich diese treiber?

Von dem Hersteller Deines Mainboards. Wenn Du den rechner nicht aufschrauben willst, dann nutze ein Programm wie z.B. Everest Home um die Information zu erhalten. Dann suchst Du die Homepage des Herstellers auf und lädst Dir aus dem Supportbereich das entsprechende Treiberpaket.

Gruß

Marc

Burgi 10.10.2006 14:11

ok vielen dank,
aber bei ati gibt es den treiber für meine grafikkarte nichtmehr nurnoch ganz neue T_T

MightyMarc 10.10.2006 14:48

Zitat:

Zitat von Burgi
aber bei ati gibt es den treiber für meine grafikkarte nichtmehr nurnoch ganz neue T_T

Wir wollen erstmal Chipsatztreiber auf Deinen Rechner bringen. Dann kümmer wir uns um den Rest. Wie ist denn die genaue Bezeichnung Deines Mainboards?

Burgi 14.10.2006 18:28

Mainboard: K7VT4APro
Chipsatz: VIA VT8377A Apollo KT400A
Grafikkarte: Radeon 9200 SE
Prozessor: AMD Sempron 2200+ 1500MHz

wenn du noch mehr infos brauchs sag bescheid danke für die hilfe

Sunny 14.10.2006 18:43

Zitat:

Zitat von Burgi
Mainboard: K7VT4APro
Chipsatz: VIA VT8377A Apollo KT400A

Hallo,

da Mighty Marc gerade nicht da ist, habe ich dir mal den Chipsatztreiber herausgesucht :) Klicke auf folgnden Link, lade die .zip Datei herunter und entpacke sie, starte dann die Installationsroutine:

http://www.computerbase.de/downloads..._hyperion_pro/

Wenn du die Treiber installiert hast, wirst du das System neustarten müssen.
(das sollte eigentlich automatisch passieren!)

Zitat:

Grafikkarte: Radeon 9200 SE
Nachdem das System neugestartet ist, lade und installiere dir den Grafikkartentreiber, diesen bekommst du hier:

http://www.computerbase.de/downloads...a_ati-treiber/

Danach wieder neu starten..

Zitat:

wenn du noch mehr infos brauchs sag bescheid
..ja ich brauche noch Infos, und zwar ob danach alles klappt!

Gruß
Sunny

Burgi 16.10.2006 15:26

so hab alles installiert es ist aber nix besser im gegenteil: mein Pc fährt langsamer hoch, wenn er hochfährt geht der bildschirm für 2 minuten aus, und danach ist der pc erst im anmeldungsmenü!

was kann ich tun? hier mein HiJackThis log:

Logfile of HijackThis v1.99.1
Scan saved at 16:26:36, on 16.10.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\PROGRA~1\MOZILL~1\FIREFOX.EXE
C:\WINDOWS\system32\msiexec.exe
C:\Dokumente und Einstellungen\Julian.KING\Desktop\HijackThis\HijackThis.exe

O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe

Burgi 19.10.2006 12:01

hallo??????

cosinus 19.10.2006 12:22

Irgendwie kann ich nicht ganz glauben, dass das Logfile vollständig ist. Oder irgendein Schädling im Hintergrund blockiert Hijackthis beim Untersuchen bestimmter Bereiche... :confused:

Burgi 19.10.2006 12:24

is mir auch unklar warum das so kurz ist ich mach mal noch eins:

Logfile of HijackThis v1.99.1
Scan saved at 13:24:30, on 19.10.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\PROGRA~1\MOZILL~1\FIREFOX.EXE
C:\Dokumente und Einstellungen\Julian.KING\Desktop\HijackThis\HijackThis.exe

O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe

cosinus 19.10.2006 13:58

Hat Dein momentan eingeloggtes Windows-Benutzerkonto Admin- oder eine eingeschränkte Rechte?

Burgi 19.10.2006 14:00

Admin rechte!

Alanis 19.10.2006 14:43

Das klingt wirklich etwas anämisch was da läuft, da fragt man sich ob jemand Prozesse versteckt. Es fehlt z.B. alles was über die Registry automatisch gestartet wird, und daß da GAR NIX drin steht ist de facto unmöglich.

Spannend wär jetzt mal die Frage, welche Bibliotheken die Explorer.exe so lädt. Ggf. hat da jemand etwas eingeschleust was da nicht hingehört.

Sunny 19.10.2006 16:31

@Burgi,

lade dir mal folgendes Programm -> Silentrunners

Lies dir die Anleitung dazu durch, und arbeite sie genauso ab wie es dasteht.
Danach (der letzte Punkt der Anleitung!), kopiere alles aus dem Editorfenster hier in einen Beitrag.

Gruß
Sunny

Burgi 19.10.2006 19:09

ok hier isses

"Silent Runners.vbs", revision 49, http://www.silentrunners.org/
Operating System: Windows XP SP2
Output limited to non-default values, except where indicated by "{++}"


Startup items buried in registry:
---------------------------------

HKCU\Software\Microsoft\Windows\CurrentVersion\RunOnce\ {++}
"ICQ Lite" = "C:\Programme\ICQLite\ICQLite.exe -trayboot" ["ICQ Ltd."]

HKLM\Software\Microsoft\Windows\CurrentVersion\Run\ {++}
"ATICCC" = ""C:\Programme\ATI Technologies\ATI.ACE\cli.exe" runtime -Delay" [null data]

HKLM\Software\Microsoft\Active Setup\Installed Components\
{89B4C1CD-B018-4511-B0A1-5476DBF70820}\(Default) = (no title provided)
\StubPath = "C:\WINDOWS\system32\Rundll32.exe C:\WINDOWS\system32\mscories.dll,Install" [MS]

HKLM\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\
"{42071714-76d4-11d1-8b24-00a0c9068ff3}" = "CPL-Erweiterung für Anzeigeverschiebung"
-> {HKLM...CLSID} = "CPL-Erweiterung für Anzeigeverschiebung"
\InProcServer32\(Default) = "deskpan.dll" [file not found]
"{88895560-9AA2-1069-930E-00AA0030EBC8}" = "Erweiterung für HyperTerminal-Icons"
-> {HKLM...CLSID} = "HyperTerminal Icon Ext"
\InProcServer32\(Default) = "C:\WINDOWS\system32\hticons.dll" ["Hilgraeve, Inc."]
"{73B24247-042E-4EF5-ADC2-42F62E6FD654}" = "ICQ Lite Shell Extension"
-> {HKLM...CLSID} = "MCLiteShellExt Class"
\InProcServer32\(Default) = "C:\Programme\ICQLite\ICQLiteShell.dll" [empty string]
"{B41DB860-8EE4-11D2-9906-E49FADC173CA}" = "WinRAR shell extension"
-> {HKLM...CLSID} = "WinRAR"
\InProcServer32\(Default) = "C:\Programme\WinRAR\rarext.dll" [null data]
"{32020A01-506E-484D-A2A8-BE3CF17601C3}" = "AlcoholShellEx"
-> {HKLM...CLSID} = "AlcoholShellEx"
\InProcServer32\(Default) = "C:\PROGRA~1\ALCOHO~1\ALCOHO~1\AXShlEx.dll" ["Alcohol Soft Development Team"]
"{4858E7D9-8E12-45a3-B6A3-1CD128C9D403}" = "TuneUp Shredder Shell Extension"
-> {HKLM...CLSID} = "TuneUp Shredder Shell Extension"
\InProcServer32\(Default) = "C:\Programme\TuneUp Utilities 2006\SDShelEx-win32.dll" ["TuneUp Software GmbH"]
"{44440D00-FF19-4AFC-B765-9A0970567D97}" = "TuneUp Theme Extension"
-> {HKLM...CLSID} = "TuneUp Theme Extension"
\InProcServer32\(Default) = "C:\WINDOWS\system32\uxtuneup.dll" ["TuneUp Software GmbH"]
"{5E2121EE-0300-11D4-8D3B-444553540000}" = "Catalyst Context Menu extension"
-> {HKLM...CLSID} = "SimpleShlExt Class"
\InProcServer32\(Default) = "C:\Programme\ATI Technologies\ATI.ACE\atiacmxx.dll" [empty string]

HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks\
<<!>> "{57B86673-276A-48B2-BAE7-C6DBB3020EB8}" = "AVG Anti-Spyware 7.5"
-> {HKLM...CLSID} = "CShellExecuteHookImpl Object"
\InProcServer32\(Default) = "C:\Programme\Grisoft\AVG Anti-Spyware 7.5\shellexecutehook.dll" ["Anti-Malware Development a.s."]

HKLM\Software\Classes\*\shellex\ContextMenuHandlers\
ICQLiteMenu\(Default) = "{73B24247-042E-4EF5-ADC2-42F62E6FD654}"
-> {HKLM...CLSID} = "MCLiteShellExt Class"
\InProcServer32\(Default) = "C:\Programme\ICQLite\ICQLiteShell.dll" [empty string]
TuneUp Shredder Shell Extension\(Default) = "{4858E7D9-8E12-45a3-B6A3-1CD128C9D403}"
-> {HKLM...CLSID} = "TuneUp Shredder Shell Extension"
\InProcServer32\(Default) = "C:\Programme\TuneUp Utilities 2006\SDShelEx-win32.dll" ["TuneUp Software GmbH"]
WinRAR\(Default) = "{B41DB860-8EE4-11D2-9906-E49FADC173CA}"
-> {HKLM...CLSID} = "WinRAR"
\InProcServer32\(Default) = "C:\Programme\WinRAR\rarext.dll" [null data]

HKLM\Software\Classes\Directory\shellex\ContextMenuHandlers\
ICQLiteMenu\(Default) = "{73B24247-042E-4EF5-ADC2-42F62E6FD654}"
-> {HKLM...CLSID} = "MCLiteShellExt Class"
\InProcServer32\(Default) = "C:\Programme\ICQLite\ICQLiteShell.dll" [empty string]
TuneUp Shredder Shell Extension\(Default) = "{4858E7D9-8E12-45a3-B6A3-1CD128C9D403}"
-> {HKLM...CLSID} = "TuneUp Shredder Shell Extension"
\InProcServer32\(Default) = "C:\Programme\TuneUp Utilities 2006\SDShelEx-win32.dll" ["TuneUp Software GmbH"]
WinRAR\(Default) = "{B41DB860-8EE4-11D2-9906-E49FADC173CA}"
-> {HKLM...CLSID} = "WinRAR"
\InProcServer32\(Default) = "C:\Programme\WinRAR\rarext.dll" [null data]

HKLM\Software\Classes\Folder\shellex\ContextMenuHandlers\
WinRAR\(Default) = "{B41DB860-8EE4-11D2-9906-E49FADC173CA}"
-> {HKLM...CLSID} = "WinRAR"
\InProcServer32\(Default) = "C:\Programme\WinRAR\rarext.dll" [null data]


Group Policies {GPedit.msc branch and setting}:
-----------------------------------------------

Note: detected settings may not have any effect.

HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\

"ClearRecentDocsOnExit" = (REG_DWORD) hex:0x00000001
{unrecognized setting}

HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System\

"DisableRegistryTools" = (REG_DWORD) hex:0x00000000
{User Configuration|Administrative Templates|System|
Prevent access to registry editing tools}

HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\System\

"shutdownwithoutlogon" = (REG_DWORD) hex:0x00000001
{Computer Configuration|Windows Settings|Security Settings|Local Policies|Security Options|
Shutdown: Allow system to be shut down without having to log on}

"undockwithoutlogon" = (REG_DWORD) hex:0x00000001
{Computer Configuration|Windows Settings|Security Settings|Local Policies|Security Options|
Devices: Allow undock without having to log on}


Active Desktop and Wallpaper:
-----------------------------

Active Desktop may be disabled at this entry:
HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellState


Enabled Scheduled Tasks:
------------------------

"1-Klick-Wartung" -> launches: "C:\Programme\TuneUp Utilities 2006\SystemOptimizer.exe /schedulestart" ["TuneUp Software GmbH"]


Winsock2 Service Provider DLLs:
-------------------------------

Namespace Service Providers

HKLM\System\CurrentControlSet\Services\Winsock2\Parameters\NameSpace_Catalog5\Catalog_Entries\ {++}
000000000001\LibraryPath = "%SystemRoot%\System32\mswsock.dll" [MS]
000000000002\LibraryPath = "%SystemRoot%\System32\winrnr.dll" [MS]
000000000003\LibraryPath = "%SystemRoot%\System32\mswsock.dll" [MS]

Transport Service Providers

HKLM\System\CurrentControlSet\Services\Winsock2\Parameters\Protocol_Catalog9\Catalog_Entries\ {++}
0000000000##\PackedCatalogItem (contains) DLL [Company Name], (at) ## range:
%SystemRoot%\system32\mswsock.dll [MS], 01 - 03, 06 - 11
%SystemRoot%\system32\rsvpsp.dll [MS], 04 - 05


Miscellaneous IE Hijack Points
------------------------------

HKLM\Software\Microsoft\Internet Explorer\AboutURLs\
<<H>> "TuneUp" = "file://C|/Dokumente und Einstellungen/All Users.WINDOWS/Anwendungsdaten/TuneUp Software/Common/base.css" [file not found]


Running Services (Display Name, Service Name, Path {Service DLL}):
------------------------------------------------------------------

TuneUp Designerweiterung, UxTuneUp, "C:\WINDOWS\System32\svchost.exe -k netsvcs" {"C:\WINDOWS\System32\uxtuneup.dll" ["TuneUp Software GmbH"]}


----------
<<!>>: Suspicious data at a malware launch point.
<<H>>: Suspicious data at a browser hijack point.

+ This report excludes default entries except where indicated.
+ To see *everywhere* the script checks and *everything* it finds,
launch it from a command prompt or a shortcut with the -all parameter.
+ The search for DESKTOP.INI DLL launch points on all local fixed drives
took 112 seconds.
---------- (total run time: 194 seconds)

Burgi 21.10.2006 16:56

***B*u*m*p***

Burgi 24.10.2006 14:49

hilft mir keiner?:heulen:

ApexX 24.10.2006 15:07

Zitat:

Zitat von Burgi
hilft mir keiner?:heulen:

Bitte hab Geduld. Nicht alle sitzen vor dem PC und üben Dauerfeuer auf den Aktualisierungsknopf aus ;)

Burgi 24.10.2006 17:37

das verlange ich ja nicht, aber es wäre schon nett wenn ihr mal meinen post untersucht ich warte nicht sekunden stunden oder minuten sondern tage und nichts wird besser :(

cosinus 24.10.2006 20:45

Ich hab den Eindruck, dass Deine Kiste vermurkst ist, aber nicht durch Viren oder so, sondern schlicht und einfach "kaputtoptimiert" wurde. :rolleyes:
Und wenn's doch Schädlinge sind, dann sind diese nicht offensichtlich.

Burgi 25.10.2006 12:03

Zitat:

Zitat von cosinus
Ich hab den Eindruck, dass Deine Kiste vermurkst ist, aber nicht durch Viren oder so, sondern schlicht und einfach "kaputtoptimiert" wurde. :rolleyes:
Und wenn's doch Schädlinge sind, dann sind diese nicht offensichtlich.


wie du meinst mein pc ist kaputt?
wenn das so ist was ich schon befürchtet habe kannst du mir sagen was genau kaputt ist?

cosinus 25.10.2006 14:52

Einen Hardwaredefekt meinte ich eigentlich nicht, das "kaputtoptimiert" bezog sich eher auf das Betriebssystem. Hast Du vlt etwas übermotiviert mit TuneUp gewerkelt?

Burgi 25.10.2006 16:48

hm dass kann auch sein aber davor gings ja genausowenig

irrlicht 25.10.2006 17:16

Hallo,
hast du das HijackThis-Log aus dem abgesicherten Modus erstellt ?
Wenn ja ,mache bitte eins aus dem Normalmodus.
Irrlicht

Burgi 26.10.2006 15:43

das ist aus dem normalmodus

Burgi 18.11.2006 16:51

kann mir keiner weiterhelfen?

Burgi 21.11.2006 18:03

Kann es sein, dass ich Falsch formatiert habe, denn wie ich letztens Die Siedler 4 installierte, hatte ich alle Spielstände, Karten, usw. wieder obwohl ich formatiert hatte!?

cosinus 21.11.2006 23:31

Zitat:

Zitat von Burgi (Beitrag 241185)
Kann es sein, dass ich Falsch formatiert habe, denn wie ich letztens Die Siedler 4 installierte, hatte ich alle Spielstände, Karten, usw. wieder obwohl ich formatiert hatte!?

Wie hast Du das denn bewerkstelligt?
Eine Neuinstallation setzt voraus, dass man von dem Installationsmedium bootet, also von der Windows-CD. Dort wird Dir die Möglichkeit gegeben, Partitionen zu erstellen/löschen/formatieren - die "alte" Systempartition solltest Du formatieren, damit nichts von dem alten System ins neue genommen wird.

Hier findest Du eine ausführliche Anleitung => Windows XP Pro Installation

Burgi 22.11.2006 16:46

ok werds versuchen danke:aplaus:


Alle Zeitangaben in WEZ +1. Es ist jetzt 21:19 Uhr.

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19